You are here: Home » Aktuelle Meldungen » Meldung
Sorry, this page is not translated yet.
Meldung Nr: RUS-CERT-518

[Mac/OS X 10] Sicherheitslücke in Mac OS X 10
(2001-10-19 12:59:34+00) Druckversion

Quelle: http://www.securemac.com/macosxsetuidroot.php

Eine Sicherheitslücke in Mac OS X 10.x (incl. 10.1) erlaubt angemeldeten Benutzern die Erlangung von root-Privilegien.

Betroffene Systeme

  • Mac OS X 10.0.x
  • Mac OS X 10.1
  • Mac OS X Server 10.0.x
  • Mac OS X Server 10.1
  • möglicherweise Mac OS X Server 1.2

Einfallstor
Lokale Ausführung von Programme des Apfel Menü->Benutzte Objekte und gleichzeitig ausgeführten SETUID=root Programmen

Auswirkung
Lokale Erlangung von root-Privilegien
(local root exploit)

Typ der Verwundbarkeit
design flaw
Programme, die unter dem Apfel Menü->Benutzte Objekte liegen, erben root-Privilegien

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Programme die über den Menüpunkt Apple->Recent ausgeführt werden, scheinen root-Privilegien (von gleichzeitig ausgeführten SETUID=root Programmen) zu erben und werden somit ebenfalls unter der UID=root ausgeführt. Dies ermöglicht lokalen Benutzern, unautorisiert root-Privilegien zu erlangen (selbst wenn der root-Account auf dem System nicht aktiviert wurde).

Demonstration

  1. Ausführung eines Terminals
  2. Schließen dieses Terminals
    Dies stellt sicher, daß Terminal als vor Kurzem benutztes Programm ins Apfel-Menü aufgenommen wird.
  3. NetInfo Manager ausführen
    Alternativ können hier auch die Programme
        /Applications/Utilities/Disk Utility.app
        /Applications/Utilities/Print Center.app
    
    aufgerufen werden
  4. Apfel Menü->Benutzte Objekte->Terminal auswählen
    Das nun aufgerufene Terminal erbt die root-Privilegien des gleichzeitig Programmes NetInfo Manager.
  5. whoami eingeben um festzustellen, daß auf verwundbaren Systemen root-Privilegien erlangt werden konnten
  6. Terminal beenden

Gegenmaßnahmen
Bislang liegt kein Update für Mac OS X 10.x vor.

Workaround
Programme, die ein SETUID=root-Bit besitzen, können mittels des folgenden Befehls angezeigt werden:
sudo find / -perm -4000 -user root -print | more

Durch den Befehl
sudo chmod o-x \ '/Applications/Utilities/Disk Utility.app/Contents/MacOS/Disk Utility' \ '/Applications/Utilities/NetInfo Manager.app/Contents/MacOS/NetInfo Manager' \ '/Applications/Utilities/Print Center.app/Contents/MacOS/PrintingReset'
lassen sich die Ausführungsrechte für diese Anwendungen auf root und die Administratoren-Gruppe einschränken.

Weitere Information zu diesem Thema

(S. Pietzko, Uni Konstanz) (tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.